在 7.3.15 之前的 PHP 7.3.x 版和 7.4.3 之前的 PHP 7.4.x 版中，使用 phar 延伸模組在 Windows 上擷取 PHAR 檔案時，PHAR 檔案內的特定內容可能導致一位元組讀取越過已分配緩衝區的資料。這可導致資訊洩漏或損毀。(CVE-2020-7061) 在 7.2.28 之前的 PHP 7.2.x 版、7.3.15 之前的 PHP 7.3.x 版和 7.4.3 之前的 PHP 7.4.x 版中，使用檔案上傳功能時，若啟用上傳處理程序追蹤功能，但又將 session.upload_progress.cleanup 設為 0 (停用)，且檔案上傳失敗，則上傳程序會嘗試清除不存在的資料，因此發生 NULL 指標解除參照，進而可能導致當機。(CVE-2020-7062) 在 7.2.28 之前的 PHP 7.2.x 版、7.3.15 之前的 PHP 7.3.x 版和 7.4.3 之前的 PHP 7.4.x 版中，使用 PharData::buildFromIterator() 函式建立 PHAR 封存時，系統會在新增檔案時附加預設權限 (0666，或所有存取)，即使檔案系統上的原始檔案具備更多限制性權限亦然。擷取此類封存時，可能會導致檔案的權限比預期的更加寬鬆。(CVE-2020-7063)

偵測

Amazon Linux AMI：php72 (ALAS-2020-1350)

critical Nessus Plugin ID 134572

版本 1.4